ISGroup Conseil en Cybersécurité

NIS2 : Existe-t-il des exemptions ou des dérogations ?

Les sources indiquent plusieurs exemples d’exemptions et de dérogations qui dispensent une entité de devoir respecter tout ou partie des dispositions de la directive NIS2.

[Callforaction-NIS2]

NIS2 : Législation sectorielle spécifique

La directive NIS2 vise à établir une norme minimale de cybersécurité dans un large éventail de secteurs. Toutefois, elle reconnaît que certains secteurs peuvent déjà être soumis à des législations spécifiques de l’UE traitant des risques informatiques et des exigences de signalement des incidents. Si les exigences de la législation sectorielle spécifique sont au moins aussi strictes que celles prévues par la directive NIS2, les entités concernées seront exemptées des dispositions correspondantes de la directive NIS2. Cette exemption concerne les dispositions relatives aux mesures de gestion des risques informatiques et aux obligations de signalement des incidents.

  • Équivalence : Pour établir si une loi sectorielle est équivalente, elle doit remplir l’un des deux critères suivants :
  • Les effets des mesures de gestion des risques de la législation sectorielle doivent être au moins équivalents aux articles 21(1-2) de la directive NIS2.
  • La législation sectorielle doit garantir un accès immédiat (et potentiellement automatique et direct) aux notifications d’incidents envoyées par les équipes de réponse aux incidents de sécurité informatique (CSIRT), les autorités compétentes ou les points de contact uniques. De plus, les obligations relatives au signalement d’incidents significatifs dans la législation sectorielle doivent être au moins équivalentes à celles prévues par les articles 23(1-6) de la directive NIS2.
  • Couverture partielle : Si la législation sectorielle ne couvre qu’un sous-ensemble d’entités au sein d’un secteur entrant dans le champ d’application de la directive NIS2, les dispositions de la directive s’appliqueront néanmoins aux entités restantes de ce secteur.

Les sources citent le Digital Operational Resilience Act (DORA) comme exemple spécifique de législation sectorielle qui exonère certaines entités de la directive NIS2. DORA régit la cybersécurité du secteur financier, et les entités qui entrent dans son champ d’application ne sont pas soumises aux dispositions correspondantes de la directive NIS2. Pour les organisations qui, en revanche, relèvent pleinement du champ d’application de la NIS2, entamer un parcours structuré de mise en conformité avec la directive est le moyen le plus efficace de gérer les obligations de manière ordonnée.

Administration publique et sécurité nationale

La directive NIS2 exempte certaines entités de l’administration publique opérant dans des secteurs liés à la sécurité nationale, à la sécurité publique, à la défense ou aux activités répressives. Cette exemption s’applique aux activités telles que la prévention, l’enquête, la détection et la poursuite des infractions pénales. Les entités qui fournissent exclusivement des services à ces administrations publiques exemptées peuvent également être dispensées de certaines obligations de la directive NIS2, sur décision des États membres.

  • Prestataires de services de confiance : Toutefois, même si une entité est exemptée en raison de son implication dans des secteurs liés à la sécurité nationale ou publique, la directive NIS2 s’applique néanmoins si l’entité agit en tant que prestataire de services de confiance.

NIS2 : Autres exemptions et dérogations

La directive NIS2 prévoit également d’autres exemptions et dérogations, notamment :

  • Entités exemptées par DORA : Les entités que les États membres ont exemptées de DORA en vertu de l’article 2(4) de ce règlement sont également exemptées de la directive NIS2.
  • Protection des intérêts essentiels : Les obligations de la directive n’exigent pas des entités qu’elles divulguent des informations qui compromettraient les intérêts essentiels de sécurité nationale, de sécurité publique ou de défense d’un État membre.
  • Confidentialité des informations : Les informations confidentielles, telles que les secrets commerciaux, protégées par la législation de l’UE ou nationale, ne peuvent être partagées avec la Commission et les autres autorités compétentes que si cela est strictement nécessaire à l’application de la directive.
  • Protection des données : Le traitement des données à caractère personnel dans le cadre de la directive NIS2 doit être conforme au Règlement général sur la protection des données (RGPD). Les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public doivent également respecter la législation de l’UE en matière de protection des données et de vie privée, y compris la directive 2002/58/CE.

Normes nationales plus élevées

La directive NIS2 établit des exigences minimales en matière de cybersécurité dans toute l’UE. Toutefois, elle n’empêche pas les États membres d’adopter ou de maintenir des dispositions plus strictes en matière de cybersécurité. Tant que ces dispositions nationales sont compatibles avec le droit de l’UE, elles peuvent coexister avec la directive NIS2.

Lignes directrices de la Commission

La Commission européenne est chargée de fournir des lignes directrices pour clarifier l’application de ces exemptions et dérogations, en particulier dans les situations impliquant des législations sectorielles spécifiques. La Commission fournit également des indications sur les informations que les États membres doivent transmettre lorsqu’ils notifient à la Commission les listes des entités essentielles et importantes couvertes par la directive.

Il est important de noter que les sources se concentrent principalement sur les exemptions et dérogations explicitement mentionnées dans la directive NIS2. Il est possible que le droit national ou d’autres réglementations de l’UE puissent influer sur l’application de la directive de manières non explicitement traitées dans le texte fourni. Pour un tableau complet des obligations applicables à votre organisation, il est utile de consulter également la liste des sujets NIS2 publiée par l’ACN et les échéances de conformité correspondantes.

Questions fréquentes sur les exemptions NIS2

  • Comment une organisation peut-elle vérifier si elle bénéficie d’une exemption de la directive NIS2 ?
  • Le point de départ consiste à vérifier si l’organisation opère dans un secteur déjà régi par une réglementation sectorielle spécifique de l’UE — comme DORA pour le secteur financier — et si cette réglementation répond aux critères d’équivalence prévus par la NIS2. En cas de doute, il est conseillé de réaliser une analyse du périmètre d’application avant de supposer que l’on est exempté.
  • Une entité partiellement couverte par DORA est-elle néanmoins soumise à la NIS2 ?
  • Cela dépend du champ d’application. Si DORA ne couvre que certaines activités ou certaines entités d’un secteur, les entités ou activités restantes non couvertes demeurent soumises à la directive NIS2. L’exemption n’est ni automatique ni totale : elle doit être vérifiée au cas par cas par rapport au périmètre effectif de chaque réglementation.
  • Les normes nationales plus strictes s’appliquent-elles également aux entités bénéficiant d’une exemption NIS2 ?
  • Les exemptions prévues par la NIS2 concernent les obligations de la directive elle-même. Les États membres peuvent adopter des dispositions nationales plus strictes compatibles avec le droit de l’UE, et celles-ci peuvent en principe s’appliquer également aux sujets qui sont exemptés de la NIS2, selon la manière dont le législateur national a transposé et délimité les exemptions.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *